2-2企业间网络安全隔离1.ppt

中小企业网络运营和维护管理 施吉鸣 主 编 张选波 沈德孟 陈俞强 副主编 中型企业网络组建项目 2.1 企业间网络连接任务 2.2 企业间网络安全隔离任务 2.3 企业间网络互通任务 2.2 企业间网络安全隔离任务 教学重点 通过将局域网内的设备逻辑地划分成不同网段从而实现虚拟工作组的虚拟局域网技术（VLAN - Virtual Local Area Network）满足企业园区网络的企业间网络安全隔离需求。 教学难点 子网规划与IP地址划分，交换机端口类型的Access模式和Trunk模式配置。 2.2.1 应用环境 企业网络中不同的企业和工作部门对网络的速度需求有很大差异，但它们却被机械地划分到同一个广播域中，互相争用同一网络的带宽。 1. 各个企业的网络相对独立 2. 一个企业的网络不能访问其他企业的网络 2.2.2 需求分析 用多台交换机连接把企业园内各家企业的办公网络相互连接后，实现了能够使各家企业和各部门之间的网络互相访问，共享网络信息资源的企业园区网络。 企业园区为了满足网络中不同的企业和工作部门对网络速度的不同需求，保证企业园区内各家企业办公网络的信息安全，涉及保密的信息不能被企业园区网络中其他部门和企业直接访问，希望通过技术手段，实现一个企业网和其他企业网络之间的隔离。 2.2.3 方案设计 在交换机上采用VLAN技术实现设备的隔离功能，有效保证园区内各家企业网络中设备和信息的安全。 2.2.4 相关知识：子网规划与IP地址划分 为了合理配置系统，减少资源浪费，人们经常把一个大的基于类的IP网络进一步分成划分为若干小的网络，把网络中设备之间的互相广播范围尽量减少，这种把一个大的网络划分变小的过程称为子网规划与IP地址划分或简称为子网划分。 划分子网后的网络举例如下： 2.2.4 相关知识：子网规划与IP地址划分 子网划分首先要看选用的IP地址是什么类型的。有几个子网需要划分，还要考虑每个子网的主机数量。例如需要规划四个子网，每个子网内分别有50、25、10、10台主机。网络分配了C类地址192.168.1.0。这四个子网的划分分别是： 192.168.1. 64／26 192.168.1.128／27 192.168.1.160／28 192.168.1.176／28 2.2.5 相关知识：VLAN虚拟局域网 VLAN（Virtual Local Area Network）虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。 由于VLAN隔离了广播风暴，与此同时也隔离了各个不同的VLAN之间的通信，所以不同的VLAN之间的通信是需要通过路由器或者三层交换机转发来实现的。 VLAN的划分可分为基于端口划分VLAN、基于MAC地址划分VLAN、基于网络层划分VLAN、基于IP组播划分VLAN和基于规则划分VLAN等多种形式。其中基于交换机端口划分的VLAN技术是最常用的一种VLAN划分技术。 2.2.5 相关知识：VLAN虚拟局域网 1. Trunk 干道技术 Trunk（干道）是一种封装技术，它是一条点到点的链路，主要功能就是仅通过一条链路就可以连接多个交换机，从而扩展已配置的多个VLAN。 在默认情况下，交换机的所有端口的功能都是Access模式。但在进行连接设备的时候，可以根据连接设备对象的不同，划分VLAN的交换机端口。根据转发数据帧功能的不同，分为Access模式和Trunk模式两种类型。 2.2.5 相关知识：VLAN虚拟局域网 2. Access模式 如果交换机的端口连接的是终端计算机或服务器，则该端口类型一般指定为Access模式。 Access模式即接入设备模式，该端口只能属于一个VLAN，这也是交换机端口的默认模式，如图所示。 2.2.5 相关知识：VLAN虚拟局域网 3. Trunk模式 如果跨交换机划分VLAN，则交换机与交换机之间的连接端口一般指定为Trunk模式，即干道模式，如图所示。 2.2.5 相关知识：VLAN虚拟局域网 4. Trunk工作原理 IEEE 802.1Q标准用来解决跨交换机VLAN中的设备如何通信的问题。它是一种常用的以太网Trunk协议。 当在Trunk链路上传送多个VLAN的数据帧的时候，为了让接收端交换机能够识别该数据帧来自于哪个VLAN，必须在原数据帧的基础上用专门的协议封装VLAN标签。 与在Access链路上传送的数据帧不同， Trunk链路上数据帧是加了VLAN标签的，即采用IEEE 802.1Q封装之后的数据帧。该数据帧到达接收端交换机对应的连接端口后，将拆去标签，还原为原来的IEEE 803.3帧信息格式，再查找MAC地址表转发到相应端口。 2.